基于新巴塞尔资本协议的商业银行风险管理审计研究

基于新巴塞尔资本协议的商业银行风险管理审计研究（通用7篇）

基于新巴塞尔资本协议的商业银行风险管理审计研究 篇1

审计研究

刘静 高翔

2012-3-7 16:32:23 来源：《财会通讯·综合版》2012年第1期

摘 要：由美国次贷危机引起的全球性金融危机不仅涉及面之广，破坏性之深让整个国际金融经济环境陷于风声鹤唳之中，也将银行业风险管理再次推到风口浪尖。为了应对金融危机，《新巴塞尔资本协议》这一国际银行业最重要的全面风险管理和行业竞争规则，被许多国家开始利用对商业银行进行监管。本文以新资本协议实施为契机，提出我国商业银行要进行风险管理审计，探索研究建立我国商业银行风险审计体系。

关键词：风险管理审计，新巴塞尔资本协议，商业银行

由美国次贷危机而导致的华尔街金融系统像多米诺骨牌倒下，并导致全球性金融危机，其影响之深刻，破坏之严重，超过1927年、1987年、1997年的经济危机。从美国最初的投行贝尔斯登的破产到最后五大投行的雷曼、美林、高盛、摩根士丹利无一幸免于难；从房利美、房地美被接管，到AIG集团被国有化，从美国最大储蓄银行互惠银行被联邦存款保险公司接管，到富国银行收购美联银行„从美国华尔街的金融动荡再到全球金融恐慌：哈利法克斯被莱斯银行收购，英格兰皇家银行申请政府保护，德国第二大贷款机构HRE申请救援，冰岛宣布三家银行国有化„我国几家中资金融机构共持有雷曼兄弟债券7亿元左右，损失的绝对数额可谓巨大。这次金融危机是我国商业银行强化风险管理审计的一次重要契机，强化商业银行风险管理审计，提高企业风险管理水平，确保我国商业银行健康发展。

一、商业银行风险管理审计选择与要求

（一）商业银行风险管理审计选择

强化商业银行风险管理审计是内部审计的现实选择。21世纪初，以毕马威为代表的国际四大会计师事务所联合学术界对审计基本方法进行研究，开发出风险管理审计，它不仅关注传统的内部控制，而且更加关注有效的风险管理机制。风险管理成为组织中的关键流程，很多优秀企业的内部审计已经把“为支持企业风险管理提供独立的评价和建议服务”作为自己的职责，从风险管理的视角持续不断地审视公司治理和企业各个领域的管理工作，促进风险管理有效性的增强。我们认为风险管理审计是以企业全面风险管理过程为审计对象的内部审计，将内部审计业务嵌入到企业实施的全面风险管理的框架中，对机构的种种风险管理程序、方法和结果进行鉴定、评价，帮助企业实现其目标。风险管理审计试图从企业全面风险管理着眼，审计人员根据企业全面风险管理的方针和政策，采用系统化、规范化的方法，测试企业风险管理系统、各业务循环及相关部门的风险识别、分析、评价、管理及处理，并对全面风险管理进行动态评价，以确认和预警，进而提高企业风险管理的效率、效果。因此，风险管理审计凸显评价和咨询功能，是审计人员执行内部控制评价和管理审计的合理拓展，即站在风险管理全过程和战略层面的视角，对企业风险管理进行的审计。在当今复杂多变的经营环境下，现代企业面临着诸多不确定性，如何防范风险成为企业管理的核心问题，风险管理审计开展是内部审计的一大进步，对我国商业银行应对金融风险和危机有着重大现实意义。（1）公司治理外部环境的变化要求企业内部审计转向风险管理审计。当前公司治理外部环境正在发生着深刻变化。全球经济一体化，企业业务循环打破了地域、部门、行业以及国家的界限而在世界范围内运行，由此便对公司治理外部环境带来了诸多影响，如企业规模国际化、资本运营国际化、风险因素国际化；电子商务和网络经济等高科技在经济领域的运用，极大地改变了经营管理方式和公司治理中心；知识经济时代即将取代工业经济时代等。这些变化，必然会给公司内部审计提出更高的要求，尤其在风险极高的商业银行里。首先，人们应该改变传统的内部审计理念，将内部审计的目标定位提高，从保证经营者更好地履行其职责到帮助公司增加价值和提高经营效率。因此，内部审计的传统保证功能将被扩展到保证与咨询功能并存的范畴。其次，审计方法和技术应相应地得以完善，制度基础审计因其本身固有的局限性受到质疑，风险管理审计正在悄然兴起，其能帮助企业评价、控制风险。IIA主席杰奎特指出：“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理和公司治理，我们正开始认识风险管理是我们事业的推动力。”（2）公司战略管理要求企业开展风险管理审计。管理学家约翰伯恩认为，战略管理是当今最为重要的管理问题。战略管理趋向于动态战略和弹性战略，没有哪一个战略能拥有长期竞争优势。企业必须及时分析可能的机遇，消除可能的风险，不断改变其战略。而战略决策本身就是最大的风险因素，战略决策出现错误，对公司来说将是灾难性的。风险管理审计介入到战略管理层面，可以为决策提供可靠的信息和建议，增加信息源的宽度和质量，以支持公司战略决策的有效性。同时，由于公司的战略管理层的董事会工作重心从雇用、监督高级管理者转向支持有效的决策和纠正错误的决策上来，但须以全面、准确的信息为依托，由于董事会和经理之间存在信息不对称，因此仅靠管理层提供的信息是不可行的，那么，风险管理审计机构就应承担起向战略设计者反馈真实信息的责任和义务。（3）“增加价值”服务理念要求塑造企业风险管理审计模式。由于世界经济环境的变化，科技的飞速发展都给企业带来了挑战，传统的企业运行机制和组织体制难以适应市场环境变化，出现了效率低下、组织僵化、机构臃肿、缺乏弹性的“大企业病”。在此背景下“企业流程再造”理论应运而生。从业务层面重新审视现有的管理实践，提出“面向未来，着眼于创造价值的管理”。原来的内部审计所进行的仅仅是事后的评价和反馈，不能满足时代要求，需要变革。将内部审计的审计对象与企业目标直接联系，并将事后反馈延伸到事前和事中。通过开展咨询性服务帮助企业控制风险为企业增加价值服务。风险管理审计目的就是帮助管理当局解决在经营管理过程中遇到的问题，评估经营风险，控制或降低风险，提供实现企业目标的各种可行建议。（4）满足新巴塞尔资本协议，商业银行需强化风险管理审计。风险管理审计要改变内部审计人员对于控制与风险的思考，使内部审计人员关心企业的目标和风险，使审计报告的重点移到目前和未来的规划，把目前的经营管理控制同计划、策略和风险评估结合起来。风险管理审计属于开放式模型，审计人员在开始一项审计业务时，必须首先评估审计风险，并把它作为审计质量要求的出发点和归宿点，做审计过程控制的依据。在新巴塞尔资本协议下，面对复杂的国内外金融环境，每个商业银行首先要规范经营，内部审计有责任进行风险管理审计，使商业银行满足银行业的监管要求。其次，通过内部审计有价值的咨询活动，促进银行提高风险管理能力，控制或减少金融危机，才能实现企业的价值增值。

（二）新巴塞尔资本协议对商业银行风险管理审计的要求

国际清算银行（BIS）于1988年首次引入了面向金融服务行业的监管资本标准。1988年的巴塞尔资本协议获得10大工业国中央银行的一致同意，从而将通用最低资本标准应用到其各个银行。2004年巴塞尔银行监管委员会发布了《统一资本计量和资本标准的国际协议：修订框架》，2006年巴塞尔委员会将1988年旧协议未改动部分、1996年关于市场风险的修订协定以及2005年关于新资本协议如何运用于实务的修订相结合，颁布了新资本协议。新资本协议的设计目标是要提高银行对风险的敏感程度，利用最低资本要求、监督检查和市场纪律（包括资本充足率要求、外部监管和市场约束）促进银行提高风险管理能力，增进金融体系的安全与稳健。其实质是为了完善与补充单个国家对商业银行监管体制的不足，减轻银行倒闭的风险与代价，是国际商业银行联合监管的最主要形式，具有很强的约束力。新巴塞尔协议了提出具体可行的监管标准，使之更加适合银行业的监管实践，被誉为国际金融风险环境下世界各国银行所遵循的“神圣条约”。新巴塞尔资本协议的出台标志着全面风险管理理念和方法在商业银行的引进和实施。2005年巴塞尔委员会的13个成员国和25个欧盟成员国已经承诺于2007年初实施新资本协议。目前包括中国银行、工商银行、建设银行等大型国有商业银行和业务活跃、国际业务比较大的交通银行、浦发行等7家银行已经被我国银监会选定作为2010年首批合规的银行，必须在2010年开始符合巴塞尔资本协议的新要求。根据银监会的规定，上述银行在经批准的情况下，可暂缓实施新资本协议，但最晚不得迟于2013年底。实施新资本协议的号角已经吹响，如何运用新协议提出的全面风险管理理念，确保我国商业银行风险管理体系合理有效运行，使其在竞争中立于不败之地，是我国商业银行风险管理审计面临的重大课题。新资本协议涉及到具体内部审计的有6条，主要内容简列如下：NO.136.在银行内部的审计的程序中，应经常对风险计量系统进行独立评估。NO.461.如果依赖监督和控制系统来限制信用风险，银行应该有一个有效的内部过程来评估是否遵守所有关键的政策和程序。NO.463.银行必须有一个健全的体系发挥作用，来验证评级体系、过程和估计所有相关风险要素的准确性和一致性。NO.620.为具备使用标准法和高级计量法的资格，银行必须至少符合监管当局以下规定：银行的董事会和高级管理层适当积极参与操作风险管理框架的管理；银行的风险管理系统概念稳健，执行正确有效；有充足的资源„NO.689.健全的资本评估应包括以下基本要素：确保银行识别、计量和报告所有实质性风险的政策和程序；将风险水平与资本联系在一起的程序；根据银行的战略重点和业务计划，设定与风险轮廓相符的资本充足率目标的程序„NO.702.银行内部控制结构是资本评估程序的基础。对资本评估程序的有效控制，包括独立检查和在适当情况下安排内部或外部审计。这六点明确要求我们必须完善和强化商业银行风险管理审计。

二、我国商业银行风险管理审计体系构建

（一）加强商业银行风险管理文化建设

加强商业银行风险管理文化建设，完善风险管理组织机构设置，构建风险管理审计环境。有效风险管理体系必须以先进风险管理文化培育为先导。风险管理审计部门需要确认风险管理部门是否通过持续宣传、培训、研讨，引导员工充分认识“银行经营风险的企业属性”，树立“风险管理本身寓于发展内涵”的科学发展观，确立“以资本对风险的约束为基础、业务增长与风险控制相适应、风险成本与风险收入相匹配”的风险管理基本原则。风险管理审计部门应协助风险管理部门让整个银行更新观念和认识，为科学风险管理机制的建立和有效运行做好思想和舆论准备，调动全体员工的积极性，能动参与风险管理。国有商业银行风险管理机构设置是风险管理审计环境不可忽视的内容，机构设置的合理性会直接影响到风险挖掘、控制的效率和效果。西方商业银行在风险管理机构设置方面基本上都是采用的类似“矩阵式”的、全面、分层次的风险管理模式。针对我国国有商业银行风险管理部门，可在总行设首席风险经理，由副行长或副行长级高级管理人员担任，负责对全行各种风险的通盘控制和管理，监控各种可能对全行业务发展有重大影响的风险。在首席风险经理领导下，各主要业务领域也都设有一个首席风险经理，并设一个称为首席风险经理办公室来支持其工作。各地区和业务部门可设自己的高级风险经理，在业务领域的首席风险经理领导下开展工作，再往下依此类推。风险经理和业务经理平行作业，各司其职，互相支持。为便于集体决策，总行和大区分行一般都会设风险管理委员会，总行的风险委员会由总行的首席风险经理任委员会主任，成员包括行长、副行长、财务总监、营运总监和各主要业务领域的负责人。

（二）构建商业银行风险管理审计机构

风险管理审计是内部控制和风险管理运行的制度要求，构建我国商业银行风险管理审计组织机构。对于一个现代企业来讲，内部控制和风险管理是企业治理层的工具，属于公司治理机制的核心。无论按照“内部控制整体框架”或是“全面风险管理整合框架”来构建自身的内部控制和风险管理框架，都内生存在“监督”环节。监督是对内部控制和风险管理系统有效性进行评估的过程，可以通过持续性监督、独立评估来实现，但都可能会出现“不识庐山真面目，只缘身在此山中”的情况，因此，需要特设的一个制度安排——风险管理审计，由直接隶属于董事会的审计部门组织实施，以落实内部控制和风险管理的各个环节的自我评价为基础的专门的审计活动，并且利用咨询意见，在战略层面上为董事会提供发现、防范并纠正自身战略风险的意见。因此，在公司内部治理框架中，风险管理审计成为内部控制和风险管理运行中的内生和外生相协调的制度安排，其内生性表现在风险管理审计本身是内部控制和风险管理中“监督”环节所要求的独立评估部分；其外生性体现在风险管理审计是特设的制度安排，直接隶属于董事会的内部审计部门实施，来保证内部控制和风险管理在不断修正中有效运行。所以，内部风险管理审计必须以企业内部控制和风险管理的自我持续评估为基础，站在战略高度，把握全面风险，来对整个公司内部治理的全过程以及各个层面实施监督。

（三）构建商业银行风险管理审计队伍

发挥风险管理审计的作用必须依靠高素质的内部审计人员。因此，加强审计队伍的建设，提高风险管理审计人员的素质，是提高商业银行内部风险管理审计工作的水平，发挥商业银行风险管理审计职能的重要保障措施。首先，提高内部风险管理审计人员的思想道德素质和职业道德素质，各商业银行应严格按照中国内部审计师协会发布的《内部审计人员职业道德规范》来要求本行的内部审计人员，并根据商业银行本身经营业务的特殊性，设立专门针对商业银行内部审计人员的职业道德准则；建立激励约束机制，对内部审计人员的工作和业绩进行监督、考评，充分调动内部审计人员的积极性，激发内部审计人员的责任感，从而自觉地约束自己的行为，自觉地提高自身的思想道德素质和职业能力素质。其次，要提高内部风险管理审计人员的业务素质，积极推行内部审计人员持证上岗制度，提高行业准入资格门槛，提高内部审计队伍的专业化程度，在保证内部审计人员专业素质的同时，要扩大内部审计队伍，吸收更多的专业人才；最后，提高沟通技巧，与被审计者进行有效的沟通，改善商业银行的内部风险管理审计的人际关系环境，使商业银行内部风险管理审计充分发挥它的“服务者”角色。

（四）构建商业银行风险管理审计流程

对于银行风险管理部门来说，必须完善企业风险管理过程，这个管理过程越顺畅，细节构造越完善，全面风险管理体系的效率就越高。一般来说，我国商业银行可将风险管理过程划分为七大模块，即风险文化、风险管理目标设定、风险识别、风险综合评估、风险处理、风险及管理信息披露、风险管理评价。那么，内部审计师为在从总体上对风险管理过程适当性发表意见，参考IIA实务公告，我国商业银行风险管理审计流程可以这样构建：第一，风险管理环境分析，评价商业银行考虑到所面临的风险环境的各个方面是否完整、考虑到风险环境因素的变化发展是否充分、对风险环境的分析是否恰当；第二，风险管理目标设定评价，各类目标在设定时所依据的数据及报告经营业绩、盈利能力、财务报表及附注等是否可靠、相关部门对它们的理解是否准确，各类目标的设定是否合理；第三，全面风险识别评价，新巴塞尔资本协议将资本充足率与信用风险、市场风险及操作风险挂钩，构建了资本充足率指标与银行风险管理水平之间的有机联系。风险管理审计不仅要审查银行监管资本充足率是否满足新协议的规定，更重要的是确保银行风险轮廓勾勒的完整性，保证所有可能发生的重大风险均已被识别与管理；第四，综合风险评估方法评价，风险管理审计需要对风险评估结果的恰当性进行再检验，如评价风险评估所依赖的数据是否准确可靠、评价对风险的可能性和影响的估计是否合理等等；第五，风险应对策略评价；第六，风险及管理信息披露评价，确定风险管理部门是否对已识别风险在整个银行内部进行恰当的通报传递、是否完整的披露了应引起银行各个部门重点关注的潜在风险；第七，风险管理评价，对银行规章制度、风险识别、评估及处置情况进行总体衡量，对其执行情况和达到的效果进行评价，并监测整个过程中是否存在问题，对存在问题的部门和环节集合成风险管理审计报告，送交风险管理部门、审计委员会及董事会。

参考文献：

［1］巴曙松、牛播坤、向坤：《巴塞尔新资本协议实施路径的国际差异比较及其发展趋势》，《国际金融研究》2006年第4期。

［2］党均章、王庆华：《次贷危机中重新审视银行风险管理》，《银行家》2008年第11期。

基于新巴塞尔资本协议的商业银行风险管理审计研究 篇2

2007年是我国金融业对外资全面开放的第一年, 面对“与狼共舞”的时代, 中资机构的风险管理能力面临着巨大的挑战和考验。2007年中国银行监督委员会发布了《中国银行业实施新资本协议指导意见》, 提出了实施新资本协议的范围、方法和时间表。实施新资本协议的号角已经吹响, 如何运用新协议提出的全面风险管理理念, 确保商业银行风险管理体系合理有效运行, 使商业银行在竞争中立于不败之地, 是我国商业银行内部审计面临的重大课题。

一、新资本协议框架对商业银行内部审计的要求

新巴塞尔资本协议全文826条, 涉及内部审计的有9条, 分别是:165条、410条、443条、498条、620条、662条、666条、718条、744条。为了强调董事会、高管层以及内部审计师在内部控制、风险计量和合规性方面的责任, 巴塞尔银行监管委员会还颁布了一份极具操作性的文件——《银行内部审计师、监管当局与审计师的关系》 (以下简称关系报告) , 该报告突出强调了银行机构内部审计工作的重要性, 以及银行监管者与银行内、外部审计师进行合作的必要性。为配合新资本协议的顺利实施, 指导银行改革进程, 巴塞尔银行监管委员会与各国银行监管部门合作修订了银行健全谨慎监管的标准——《有效银行监管的核心原则》 (以下简称新核心原则) 。新核心原则规定了有效监管体系应遵循的二十五条原则, 充分体现了自1997年《核心原则》颁布以来金融市场和监管实践的变化, 以及在不同国家的进展状况、水平不一的现实, 得到大多数国家的认可。截至2006年10月, 已经有100多个国家采用了新核心原则的评价方法。新核心原则对商业银行内部审计也提出了详细的要求, 它与新资本协议、关系文件相配合构成新巴塞尔协议框架, 共同指导内部审计在银行风险管理实务中发挥应有的作用。新巴塞尔资本协议的主要精神在于健全银行风险管理, 而非局限于资本计提, 故银行必须建立良好的风险管理制度, 并发展更具效率的风险管理技术来监督及管理其风险。内部审计亦须提升其自身专业素养, 并拟定有效的审查措施促进银行提高风险管理水平。

(一) 内部审计范围扩展至风险管理领域自1999年国际内部审计师协会 (IIA) 颁布内部审计新定义之后, 人们开始关注内部审计在风险管理方面的作用。内部审计如何参与风险管理活动, 实现价值增值成为人们关注的焦点。商业银行与一般企业相比具有更高的风险, 更需要内部审计范围从传统财务审计扩展至风险管理领域。新巴塞尔协议将资本充足率与银行有效管理各类风险的能力相挂钩, 使之更全面、敏感地反映商业银行面临的各种风险。为有效发挥资本充足率在风险监管中的作用, 激励商业银行改进风险管理水平, 需要内部审计参与资本充足的评估活动, 确保银行持有与其风险管理水平相对应的资本。新协议在第744条提到, 银行内部控制是资本评估程序的基础, 在适当的情况下内部审计应参与资本评估程序的独立检查。

与新巴塞尔协议相呼应, 新核心原则也对风险管理审计提出了要求。在“原则7:风险管理程序”中提到, 监管者要求较大或综合性较强的银行设置专门的部门来负责风险评估、风险监督、控制或降低实质性风险;监管者要证实这些部门定期接受内部审计检查;而内部审计部门须采用适当的方法识别银行的实质性风险, 并以风险评估来制定审计计划和配置审计资源。“关系报告”中明确内部审计的范围包括:检查和评价内控体系的适当性和有效性;审查风险管理流程和风险评估方法的适用性和有效性;审查与预期风险相关的银行资本评估系统;测试各种交易及其内控程序的运行情况;审查应合规要求和政策程序的执行要求而建立的各项制度;监测向监管当局提交报告的可靠性和及时性等。新资本协议框架已要求内部审计的触角延伸至风险识别、评估、控制等诸多领域。我国银监会印发的《银行业金融机构内部审计指引》也明确提出内部审计须通过系统化和规范化的方法审查评价并改善银行业金融机构经营活动、风险状况、内部控制和公司治理效果, 促进银行业金融机构稳健发展。

(二) 加强与监管者、外部审计间的交流与合作新巴塞尔资本协议为银行提供了多种计算风险加权资产的方法, 在为银行提供更大选择空间、鼓励银行采用更加敏感的风险衡量方式的同时, 也加大了监管成本与审计成本。由于监管当局和外部审计师对银行的风险管理状况了解有限, 若缺乏全面了解银行的风险管理水平, 仅从账面的资本充足率很难判断银行的健康与否。为此巴塞尔委员会颁布了《银行内部审计、监管当局与审计师的关系》以及《关于银行内部审计及监管者与审计师关系的调查》两份报告, 旨在监管者、外部审计与内部审计之间形成有效的对话机制, 以便及时发现问题, 采取果断措施降低风险或补充资本。

“关系报告:原则18”要求, 监管者、外部审计师和内部审计师相互合作, 定期举行三方会议, 能提高各方的工作效率和效果。巴塞尔委员会认为, 在有些国家, 这种合作建立在监管当局和内、外部审计师之间举行定期会议的基础上;监管者可以考虑让高管层适当地参加这些会议, 会上, 每一方都会提供共同感兴趣领域的信息, 并对将要检查的领域和工作时限给予特别关注;而且, 所有三方都会讨论机构对内、外部审计师整改建议的执行情况。

在与银行监管者的交流合作方面, “关系报告:原则13”认为, 银行内部审计师的工作有助于银行监管者, 因此监管者应当评价内审部门的工作, 如果满意, 即可信赖该部门来识别潜在的风险领域。具体说, 监管者可能采取许多方法来评价内部控制的质量, 其中包括评价内审的质量, 如果监管者对内审工作满意, 就可采纳内部审计报告作为识别银行的控制问题、或识别审计师最近未审查的潜在风险领域的主要途径。“关系报告:原则14和15”认为, 银行监管者应与每家银行的内部审计师定期进行磋商, 来讨论已识别的风险领域和已采取的措施, 并提倡监管者与被监管银行内审部门负责人就政策问题经常展开讨论。如各家银行内审部门负责人一起, 就共同关心的问题与监管当局进行磋商。

在与外部审计的交流合作方面, “关系报告:原则14和16”提倡监管当局鼓励内、外部审计师进行磋商, 以使合作尽可能有效率、有效果, 监管当局也会与内部审计讨论银行内审部门和外部审计师间的合作范围: (1) 通常内部审计对外部审计在决定审计程序的特征、时间和范围方面有所帮助, 但外部审计师对财务报告的审计意见承担完全责任。外部审计师应当获知相关内部审计情况, 并通过一定的渠道接触相关内部审计报告, 了解内部审计师发现的、可能影响外部审计师工作的重大事项。同理, 外部审计师通常会告知内部审计师任何可能影响内部审计的重大事项。 (2) 内审部门负责人应确保内部审计工作不会与外部审计工作发生不必要的重复。双方审计工作协调的内容包括定期召开会议讨论共同关心的问题, 交换审计报告和管理建议书, 在审计技巧、审计方法和审计术语方面达成共识。

(三) 强化与董事会、高管层的协调与沟通在风险管理体系中, 银行高管层、董事会、内部审计承担着不同的责任。高管层应负责建立一套流程, 用于识别、计量、监督、控制银行承担的风险。高管层应至少每年向董事会报告一次内部控制体系和资本评价程序的覆盖范围与运行情况 (关系报告:原则2) 。董事会对确保高管层建立和维护充分有效的内部控制体系、风险评估计量体系、风险资本体系、合规监控体系承担最终责任。董事会应至少每年对内控体系和资本评估程序进行一次审查 (关系报告:原则1) 。内部审计可以为银行制定的政策及流程是否适当与合规提供独立的评估, 因此内部审计是持续监控银行内控体系及内部资本评估程序的一部分。这样内部审计才能支持高管层和董事会高效地履行上述职责并取得成效 (关系报告:原则3) 。

尽管内部审计与高管层、董事会在风险管理中的职能和责任不同, 但工作领域和范围却有所交叉和重复。巴塞尔委员会2002年的调查报告显示, 被调查银行的审计章程由董事会制定, 内部审计的年度审计计划由董事会或高管层审查和批准。为确保银行所有关键风险能被识别与控制, 提高工作效率, 巴塞尔委员会在关系报告中提出多项措施加强内部审计与高管层、董事会间的协调沟通: (1) 内审部门负责人应有权根据各家银行在其审计章程中界定的规则, 自主地决定在合适的时候直接与董事会、董事会主席、审计委员会 (如果有的话) 成员进行沟通; (2) 高管层应保证内审部门能完全了解银行最新发展情况、业务创新以及产品和操作方面的变化, 以确保尽早识别所有相关的风险; (3) 内部审计应将所发现问题记录审计报告, 并将其递交给高管层与董事会或审计委员会, 高管层应确保内审部门关注的问题得到恰当的处理和落实; (4) 内审部门应追踪检查所提整改建议是否得到执行, 根据公司治理结构的不同, 整改情况应至少每半年与高管层、董事会或者审计委员会 (如果有的话) 进行一次沟通。

二、全面风险管理 (overall risk management) 审计

2004年COSO委员会提出了《企业风险管理的整体框架》 (简称ERM框架) , 从企业的四个目标、八大要素、各个层级三个维度为全面风险管理构建了立体的框架。如果说ERM框架是企业全面风险管理的里程碑, 那么新协议的颁布则为银行业的全面风险管理翻开了崭新的一页。与旧协议相比, 新巴塞尔协议拓展了风险的范畴, 将市场风险和操作风险纳入资本充足率的计算公式中, 更加注重对各种风险进行全面管理。银行风险管理水平不同, 所需最低监管资本也不同, 这就提高了监管资本对风险的敏感度, 促使商业银行在资本金的硬约束下加强全面风险管理, 提高基于风险的决策。

国务院国有资产监督管理委员会于2006年颁布的《中央企业全面风险管理指引》明确规定, 具备条件的企业可建立风险管理三道防线, 即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。内部审计部门作为全面风险管理的最后一道防线, 面临着巨大的挑战:如何将全面风险管理理念贯穿于风险管理审计的全过程, 对银行内各个业务层次、各种类型风险进行通盘审查监督, 同时考虑到银行不同经营单位和产品线风险的相关性, 统一地而不是分离地对风险进行监控。

全面风险管理是指银行围绕总体经营目标, 对整个银行内各种风险纳入统一管理的范畴, 并将承担这些风险的各业务单元纳入到统一的管理体系中, 对各类风险进行统一的控制和管理。它主要包括三层含义: (1) 全方位的风险管理, 即全面风险管理要涵盖全部的风险因素, 包括信用、市场、操作风险等, 并对这些风险因素从机构整体的角度进行整合; (2) 全面的风险管理过程, 即全面风险管理是一个过程, 不是一项独立的管理活动, 是渗透到银行经营管理活动中的一系列行为; (3) 全组织上下的风险管理, 即全面风险管理是一个由企业的董事会、管理层和其他员工共同参与的活动, 须在全组织上下达成一致认识, 明确各部门在风险管理中的职责, 强调全员风险管理。相应地, 全面风险管理审计可从全方位风险管理审计、风险管理过程审计和风险责任审计三个方面进行。

(一) 全方位风险管理审计新巴塞尔协议首次将由内部程序、人员、系统或外部事件引致的操作风险纳入到资本要求框架, 这使得巴塞尔协议所覆盖的风险范围由1988年的信用风险和1996年的交易账户市场风险进一步扩展到金融机构全面风险。新协议将资本充足率与信用风险、市场风险及操作风险挂钩, 构建了资本充足率指标与银行风险管理水平之间的有机联系, 该联系表现为:在其他因素不变的前提下, 风险管理水平越高, 风险加权资产越小, 资本充足率越高 (1) 。但银行的风险远不止信用风险、市场风险和操作风险, 还有资本充足率涉及但没有完全覆盖的风险 (如贷款集中风险) ;资本充足率未考虑的风险如流动性风险、战略风险、声誉风险及经营风险等;此外银行的外部因素如经济周期的交替变更, 利率、汇率的波动等都会影响银行的风险。全方位的风险管理要求将银行面临的所有风险纳入管理范畴。作为内部审计不仅要审查银行监管资本充足率是否满足新协议的规定, 更重要的是确保银行风险轮廓勾勒的完整性, 保证所有可能发生的重大风险均已被识别与管理。

为便于计算与监管, 新协议中资本充足率的分母是风险资产的简单加权平均, 其隐含的假设是风险之间是线性相关的, 这不符合银行实际情况, 难以准确反映银行风险的数量特征, 也难以从中判断银行真实的风险管理状况。全方位的风险管理要求银行对风险进行整合, 即考虑各类风险之间的相关性, 从银行整体层面对风险进行整合。巴塞尔委员会在关系报告中提到:内审部门应将银行在其所有实体中的活动作为一个整体来检查和评价, 因此内部审计不应受银行内部业务部门划分、风险分类的局限, 应充分考虑风险事件之间的相关性, 以风险组合的观念审查银行是否从机构整体的角度全盘考虑、统一规划各种风险, 整合风险的技术与工具使用是否恰当, 整合后的总风险是否在银行的风险偏好范围内。以风险组合的观点进行全方位风险管理审计可以防止两种倾向:一是业务单元、分支机构的风险处于风险偏好可承受能力之内, 但总体风险水平超出银行的风险承受限度;二是个别投资组合、业务单元、分支机构的风险暴露超过其限度, 但总体风险水平还未超出银行的承受范围, 因为风险之间的相关性可能产生抵消的效果, 此时还有进一步承受风险争取更高回报与成长的空间。

(二) 风险管理过程审计在COSO委员会的ERM框架中提到, 全面风险管理是一个过程, 这个过程受董事会、管理层和其他员工的影响, 从企业战略制定一直贯穿到企业的各项活动中, 用于识别可能影响企业的潜在事件并管理风险, 使之在企业的风险偏好范围内, 从而合理保证企业目标的实现。全面风险管理有八个要素, 涵盖了风险管理过程的每个阶段, 即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通以及监控。这八个要素是相互联系的。风险管理环境是风险管理其他要素的基础, 它造就了一个组织的气氛, 影响着一个组织中人员的风险意识;目标设定是银行有效进行事件识别、评估风险、应对风险的前提, 全面风险管理的八个要素都是为目标服务的;风险识别是风险评估与风险控制的依据, 风险识别的完整性与风险评估的精确性决定着风险对策选择的准确性;控制活动是保证风险对策有效实施的政策和程序;风险信息处理和报告是保障银行全面实施风险管理的媒介, 风险管理的各项活动都要形成风险信息并通过风险报告机制在组织上下传递;监控是对企业风险管理的整个过程的监督, 是风险管理目标实现和风险管理流程有效运行的保障。

在全面风险管理审计中, 内部审计须跳出风险管理部门之外, 以独立角度审查风险管理八要素的运作, 对风险管理过程进行较为全面的评价。首先分析风险管理环境, 判断银行价值取向、风险偏好、管理风格、风险管理组织结构、风险管理文化等的合理性;接着审查管理者设定的目标与企业的风险偏好是否一致;而后识别影响企业目标实现的内外部事件, 包括正面事件与负面事件, 即机会与风险。对于机会, 分析管理者是否及时利用, 并据以调整策略, 以达到经营和获利目标。对于风险, 审查管理者是否已准确识别、合理评估并采取了适当的风险对策将风险控制在风险容忍度内。此外内部审计可根据风险的重要性, 有选择地抽取几笔业务, 按照风险管理的程序进行穿行测试, 并将其结果与风险管理部门的结果相比较, 以判断风险管理八要素的合理性与有效性。

(三) 风险责任审计虽然新巴塞尔协议将银行风险分为信用风险、市场风险及操作风险三大类, 但这三类风险不是互不相关的, 而是具有一定的互动关系。如市场利率汇率的提高可能增加企业的债务负担, 引发信用风险;信用风险中的贷放损失可能是由于核贷过程中缺乏严谨的内部控制程序导致的。信用风险、利率风险和操作风险往往夹杂在一起, 共同影响银行的经营。许多金融机构陷入经营困境的主要原因, 不再是信用风险或者市场风险等单一风险, 而是由信用风险和市场风险等联合造成 (巴曙松, 2003) , 因此全面风险管理需要组织从上到下的共同配合与参与。内部审计应通过风险责任审计, 审查风险管理过程中职责划分是否明确:哪些部门负责制定计划, 哪些部门负责决策, 哪些部门负责将计划决策贯彻落实, 是否都有明确的规定;审查职责划分是否合理:是否在银行的总体战略规划指导下进行职责划分, 风险管理过程中是否存在真空地带与重复管理地带;审查各层级员工在风险管理过程中是否清楚理解其承担的职责, 选择正确、有效的风险管理策略;评价银行的绩效考核体系是否有利于部门之间的协调与配合, 促进全面风险管理模式的贯彻实施, 避免政出各门, 各处为政的现象。

三、信用风险管理审计

信用风险是指因交易对手无法履行义务致使银行遭受损失的风险。在计量信用风险时, 新资本协议允许银行在两种方法中任选一种。一种是标准法, 根据外部信用评估如标准普尔信用评级的结果来计量信用风险。另一种是内部评级法, 允许银行用内部信用评级系统来计量信用风险, 但必须经过银行监管当局的明确批准 (新资本协议第50、51条) 。

标准法的全面使用需要有合格的外部评级机构为基础。短期内国内评级机构尚达不到新资本协议第91条规定的六条标准, 而拥有国际三大评级机构评级 (包括主动评级和被动评级) 的国内企业 (包括银行) 不足百家 (罗平、冯文博, 2006) 。绝大多数借款人没有外部评级的现状为标准法在我国的推广实施增加了一定的困难。新资本协议最主要创新之一就是提出了信用风险的内部评级法, 符合条件的银行可以根据自身对风险要素包括对违约概率 (PD) 、违约损失率 (LGD) 、违约风险暴露 (EAD) 及期限 (M) 的估计来决定特定暴露的资本要求 (第211条) 。我国的金融市场是“银行为中心, 资本市场、保险市场为辅”的格局。在银行主导型金融体系下, 银行在发放贷款的过程中掌握了大量的企业内部信息, 相对市场而言, 银行在内部评级方面具有较强的信息优势 (巴曙松等, 2006) 。我国银监会明确提出现阶段应以信贷业务为重点推进内部评级体系建设, 达到监管要求并经银监会批准的银行应采用内部评级法计算信用风险资本。

内部评级法中风险要素的估计需要加入大量的主观判断和经验法则, 在判断的过程中带有一定的主观因素和个人偏好, 因此需要内部审计对内部评级系统的合理性加以评价, 以保证信用风险管理的有效性。新协议第443条要求:在内部评级法下, 内部审计或与其功能相当的独立部门至少每年必须检查一次银行信用评级体系及其运行状况, 包括信用功能的运作和对违约概率、违约损失率及违约风险暴露的估计;检查是否所有领域都已遵守适用的最低要求;内审必须记录检查的结果。

内部评级法的实施对内部审计提出了新的挑战。内部审计要了解内部评级系统的设计与操作, 并对信用评级模型加以验证。受限于专业领域, 内部审计要完全了解内部评级模型并非易事, 尤其许多银行的内部评级模型仍在发展中, 这增加了内部审计审核的难度。而不同银行在业务范围、数据来源、IT架构、信用风险管理流程、信用风险量化技术等方面都有很大的不同, 内部审计很难完全照搬另外一家银行的成功经验。审查信用评级体系, 验证评级系统所使用模型与数据的合理性是对内部审计的一大考验。

(一) 内部模型审计

使用内部评级法评估信用风险需借助各种模型。新协议在“采用内部评级法的最低要求”中规定, 可以由内部审计负责对内部模型所有要素进行定期独立的评审, 包括模型修改的审批、模型参数的检查、模型结果的评审 (如对风险计算结果的直接验证) 。应评估模型参数与结果的准确性、完整性和适当性, 发现并减少与已知缺陷相关的潜在误差, 识别模型的未知缺陷 (新协议第528条 (b) ) 。从内部评级模型在业务领域的全面运用到内部评级模型较为稳定、准确地预测未来需要较长的时间。随着内外部经营环境的变化, 模型可能变得不再适用。因此除了上述新协议规定的评审程序外, 内部审计还要审查银行是否建立有效机制, 保证模型随着环境的变化及时更新与调整。

(二) 内部数据审计

在内部评级法中要使用大量的内部数据, 内部数据的准确性与完整性直接影响着信用风险评级的结果。新协议第417条规定, 银行必须建立有效的程序, 审查输入违约或损失统计预测模型的数据, 程序还包括对已经评级数据准确性、完整性和适当性的评估。由独立的内部审计部门审查内部数据, 即能满足巴塞尔委员会的要求。

内部审计可从以下方面开展内部数据审计:审查数据规模是否足够大, 观察期足够长 (2) , 是否覆盖一个经济周期;管理人员是否对内部损失事件数据进行跟踪收集与记录;除了搜集借款人的财务数据, 是否还有非财务数据, 同一借款人的财务数据与非财务数据有无矛盾等。

四、操作风险管理审计

新巴塞尔协议首次将操作风险引入到风险管理框架中, 这引起了国际银行业的广泛关注。操作风险是指由于不恰当或者失效的内部程序、人员、系统或外部事件所导致损失的风险。该定义包括法律风险, 但不包括战略风险与声誉风险 (新协议第644条) , 不仅涵盖了业务操作方面的风险, 而且包括了操作之外的系统风险;不仅考虑了内部程序、人员、系统等内部因素引发的操作风险, 还考虑了外部事件所引发的操作风险以及法律风险。美联储 (2005) 调查问卷显示, 操作风险管理状况不容乐观, 在调查的23家银行中共发生了150万起操作风险损失事件, 损失额高达259亿美元, 平均每家银行一年的操作风险损失金额高达11.26亿美元。在这150万起事件中, 大额损失事件 (金额超过10000美元的事件) 占1/3以上。此外不同银行在操作风险管理方面的能力存在着较大的差距, 23家银行中有6家银行的大额损失事件数在250件以下, 风险相对集中在4家银行, 这4家银行的大额损失事件数超过2500件, 占大额事件总数的71%, 占大额损失金额的67%。

现阶段我国金融机构多将重点放在逾贷问题的处理与呆账冲销上, 对操作风险的认识不足。不少银行将操作风险等同于内部控制风险, 对操作风险的识别与控制能力不能适应业务发展的问题比较突出。为此银监会将防范操作风险提上日程, 于2005年发布了《中国银行业监督管理委员会关于加大防范操作风险工作力度的通知》, 要求各银监局高度关注银行业金融机构的操作风险问题, 从多方面有效防范和控制银行操作风险。在通知中明确提出要“切实加强稽核建设, 完善稽核体制, 充实稽核力量”, 可见内部审计在操作风险管理中的重要作用已得到了银监会的关注和认可。

(一) 操作风险因素与操作风险监管原则

实务中导致操作风险增大的因素较多。在交易事项大量计算机化的情况下, 若无严格的监控, 可能会使手工处理的程序性错误转化为计算系统错误风险;网络交易的广泛应用, 会引出许多新的难以完全监控的风险, 如外部欺诈与系统安全问题;大规模的购并活动和跨组织战略联盟的建立, 会导致银行系统的整合出现新的不适应;银行提供多种类、多产品的大量服务, 需有一个坚强的内部控制系统和支援系统作后续维护;银行通常会采取降低风险技术来降低风险暴露, 但可能派生出其他风险;银行外包作业的增加虽会降低部分作业的操作风险, 但可能会派生出其他风险;银行内部控制、内部作业规范未能彻底贯彻落实, 遂产生风险。针对这些因素, 巴塞尔委员会提出监控操作风险的十项原则, 其内容体现在建立健全有效操作风险管理的环境 (三项原则) ;风险管理的定义、评估、监督和控制 (四项原则) ;监督者在风险管理中所扮演的角色 (一项原则) ;充分披露相关的风险管理信息 (一项原则) 。

(二) 操作风险识别审计

操作风险的识别是操作风险评估与控制的依据, 操作风险识别的准确性与完整性决定着银行操作风险管理程序的顺利实施和操作风险的有效控制。巴塞尔委员会 (2003) 将操作风险事件分为七大类:内部欺诈 (Internal Fraud) , 外部欺诈 (External Fraud) , 雇员活动和工作场所的安全问题 (Employment Practices&Workspace Safety) , 客户、产品以及经营活动 (Client, Products&Business Practices) , 实物资产的损害 (Damage to Physical Assets) , 经营中断和系统出错 (Business Disruption&System failures) , 涉及执行、交割以及流程管理的风险事件 (Execution Delivery&Process Management) 。如何确保上述各类操作风险均已被识别, 保证操作风险轮廓勾勒的完整性是银行内部审计面临的重大难题。Hare认为, 为了从总体上管理企业风险, 有必要完整列出企业 (或部门) 所面临的风险, 只有完整列出潜在重要风险的清单, 管理层才能确信那些威胁目标实现的因素已经得到了充分评估、合理抑制以及经济有效地管理。Andrew D.Bailey, Jr (2002) 等人认为, 管理层及内部审计人员在确定任何有关风险的完整表单时, 要富有创新精神。可以采用诸如依靠具有不同背景及专业技术的各种人员的“头脑风暴法”、猜想可能存在威胁的“情景假定” (scenario building) 之类的方法。笔者认为, 在操作风险识别审计中可以风险管理人员制作的操作风险识别清单为基础, 审查各类可能面临的重大操作风险是否列于操作风险识别清单上;评价操作风险识别清单的“超前性、预见性”, 能否为预测银行操作风险提供依据。以操作风险识别清单为基础, 便于内部审计顺藤摸瓜, 查找潜在的操作风险是否均已识别, 避免类似事件再次发生。

(三) 操作风险计量审计

在新巴塞尔协议征求意见的过程中, 操作风险的引入曾引起各国激烈的争论。每个金融机构面临的操作风险以及采用的操作风险管理策略与程序因机构特性与业务的不同而有相当大的差异。操作风险损失数据的缺乏为操作风险的量化增加了困难。新协议提供了三类操作风险计量方法, 即基本指标法、标准法和高级计量法。其中高级计量法的风险敏感度最强, 复杂程度最高, 该计量方法的审计难度也最大。

高级计量法是指银行用定量和定性标准, 通过内部操作风险计量系统计算法定监管资本 (新协议第655条) 。在高级计量法的稳健标准中指出, 鉴于操作风险计量方法处于不断演进之中, 巴塞尔委员会不规定用于操作风险计量和计算监管资本所需的具体方法和统计分布假设, 但银行必须标明所采用的方法考虑到潜在严重的“尾部”损失事件 (新协议第667条) 。高级计量法赋予银行相当大的灵活空间, 为了让高级计量法合理计量银行的操作风险, 避免人为操纵, 在采用高级计量法的定性标准中, 新协议第666条 (e) 规定, 银行的操作风险管理流程和计量系统必须定期接受内部和/或外部审计师的审查, 且审查必须涵盖业务部门的活动和独立的操作风险管理职能。

高级计量法使用的数据可来源于内部也可来源于外部。多数采用高级计量法的银行将内部数据直接输入风险计量模型 (美联储, 2005) 。用于计算监管资本的内部操作风险计量方法, 必须以至少五年观测的内部损失数据为基础。如果是初次使用高级计量法, 也可以使用三年的历史数据 (新协议第672条) 。但内部历史数据的适用性值得内部审计考证。我国正处于经济转轨时期, 整体经济结构和法律制度都在发生变化, 收集的历史数据是基于当时的环境背景, 能否跟上环境的变化, 能否适用于风险计量模型, 作为预测未来的基础都值得内部审计人员关注。然而大多数银行面临着内部数据不足的问题, 特别对于内部控制较好的大银行, 低频高危事件的历史数据较少, 必须用外部数据加以补充。大约有一半的机构在模型中直接采用外部数据, 特别当一个特殊类型事件或产品线的数据库中没有足够的内部损失数据来为低频高强度的“尾部事件”建模时, 就将外部数据引入模型 (美联储, 2005) 。外部数据可以来自行业数据库以及监管部门的相关统计数据等。但操作风险损失在很大程度上是内生的, 外部数据能否直接用于银行操作风险管理, 外部数据与本银行潜在损失的相关性等问题值得内部审计深入研究。

基于新巴塞尔资本协议的商业银行风险管理审计研究 篇3

【关键词】新巴塞尔协议;银行业风险管理;银行审计风险

1.商业银行审计风险

1.1固有风险

商业银行固有风险是指假定商业银行不存在内部控制制度时，商业银行的某一业务环节出现重大违法违规问题的可能性。商业银行的固有风险较高，并且体现在经营、管理各个环节中，这是由其本身经营货币的特殊性所决定的。

1.2控制风险

商业银行控制风险是指商业银行的某一业务环节存在重大违法违纪问题，而未被内部控制防止、发现和纠正的可能性。控制风险实质就是商业银行内部控制制度执行的有效性问题。由于我国商业银行尤其是国有商业银行长年形成的观念，银行各级领导人员权力过于集中，人员整体素质不高，导致银行的内部控制制度在执行时效果不佳，内部控制的执行力度明显薄弱，因此形成了比较高的控制风险。

1.3检查风险

商业银行的检查风险是惟一可以由审计人员进行控制的风险，它是指商业银行的某一业务环节存在重大违法违纪问题，通过审计未能发现，并出具错误审计意见的可能性。控制商业银行审计的检查风险，是控制审计风险的惟一途径，同时也会对最终形成的审计意见产生重要的影响。

商业银行经营的是高风险的货币资金，分支机构多，经营网点分散，相当一部分工作人员可以通过业务处理如可转让证券、现金等接触到货币资产，一项微小的控制薄弱环节就可能导致出现大的问题。这些原因都会导致银行较高的经营风险，因而内部控制显得尤为重要。银行经营的这种特殊性要求在审计过程中必须重视内部控制的检查与评价。我国商业银行审计中，由于受审计力量和人员素质的限制，审计中基本不进行内部控制的检查测试，因而难以发现银行内部控制的薄弱环节和高风险业务，导致现阶段审计在防范金融风险方面的能力不高。因此，通过加强商业银行审计中内部控制的检查与风险评估，来推动商业银行完善内部控制制度，对加强银行风险管理、降低银行审计风险有着重要的意义。

2.新巴塞尔资本协议的借鉴与启示

20世纪90年代以来，随着金融全球化趋势的日益显现、金融风险管理技术的迅速发展以及计算机技术在银行业的广泛运用，金融创新日新月异，资本市场之间的联系更加紧密，银行风险管理受到了更多的关注，巴塞尔委员会为应对银行业发展的新特点，修改了1988年的资本协议，提出了新巴塞尔资本协议。新协议由三部分组成：最低资本要求、监管当局对资本充足率的监督检查和信息披露。

2.1最低资本规定

关于最低资本规定的方案是建立在1988年巴塞尔协议的基础上，继续使用统一的资本对风险加权资产的最低比率，但新协议对银行风险的评估更精细、更全面，除信用风险外，操作风险也纳入了其中。法国兴业银行就曾因交易员违规操作而带来了49亿欧元的损失，并因其内部管控系统的严重缺陷而受到法国银行业管理部门的400万欧元处罚。可见，银行风险的影响因素是多方面的、复杂的，因此，如何更加合理地计量银行风险是新协议解决的主要问题。

2.2监管当局的监督检查

监管当局的监督检查是最低资本规定和市场纪律的重要补充。监管当局有效的监督检查可以保障各家银行建立起有效的内部程序，进一步评估银行在认真分析风险基础上设定的资本充足率。

2.3信息披露

信息披露具有强化资本监管、帮助监管当局提高金融体系安全稳健的潜在作用。根据2000年公布的六项建议，新协议在四个领域制定了更为具体的定量及定性的信息披露内容：适用范围资本构成、风险暴露的评估和管理程序以及资本充足率。根据重要性原则，信息披露可分为核心信息披露和补充信息披露两种情况。关于信息披露的频率，新协议指出一年披露一次是不够的，因为在这种情况下市场参与者只能对滞后几个月且不能反映银行真实风险状况的信息做出反应，因此最好是每半年一次。

3.商业银行审计应对全面实行新巴塞尔协议的措施

3.1以风险审计理论为指导，增强审计风险的防范意识

根据风险基础审计理论，审计工作应从分析风险入手，在全面了解被审计商业银行基本情况的基础上，充分关注商业银行的特殊风险，确认影响实现审计目标的风险因素，选择相应审计对策，制定和实施规范的审计程序，确保审计能够发现业务经营活动中的重大违法违规问题及风险隐患。

3.2以风险审计为导向，确定审计的内容和重点

在风险审计阶段，我们应根据银行业务风险的高低来确定审计的范围、内容和重点，对高风险业务予以重点關注。一是重点审查银行资产质量，包括信贷资产和非信贷资产。因为银行的经营风险最终会反映到资产质量上，只要我们抓住了资产质量这条主线展开审计，就可以发现和揭露银行经营中存在的隐患和风险。二是重点审查金融创新业务。随着金融全球化，新的金融业务如网上银行、电子银行、各种理财业务和金融衍生工具不断出现，这些新兴业务的内部控制相对较弱，国家相应的法规和制度建设滞后，容易成为银行新的风险点。

3.3以业务循环为基础，将业务经营审计与财务收支审计有机结合

单纯地审计商业银行财务收支是不能完成《审计法》赋予的审计职责的，也很难揭露出商业银行存在的主要问题。商业银行的风险主要发生在业务经营环节，因此在审计中应以业务循环为基础，按照存款业务、贷款业务、中间业务、资金融通业务、联行清算业务和其他业务来分工进行。因为银行的各项业务自成体系，若按传统的会计科目法进行分工审计，势必将银行经营中的内在联系割裂开来，不便于进行内部控制测试和执行分析性复核，会降低审计工作效率，也不便于揭示和分析各业务循环中存在的问题与风险。

3.4大力开发商业银行审计软件，提高计算机审计水平

计算机审计的普及和深入使审计的范围更加广泛、内容更加丰富，实现了从审计抽查向审计详查的转变。随着商业银行业务的不断发展和计算机应用水平的不断提升，需要审计人员不断地开发新的适应现代商业银行审计的计算机审计软件，建立与被审计单位的数据接口，以便更好地对被审计单位的计算机数据进行处理、分析，并利用计算机审计的结果发现更多的审计线索，提升审计工作质量和审计效率，努力降低审计风险。

3.5严格执行审计程序，规范操作行为

在商业银行业务发展不断扩大、金融创新不断发展、金融衍生产品不断增多的今天，要控制好审计风险，尤其是商业银行的检查风险，必须不断加强审计机关的自我约束，严格执行审计程序，规范操作行为。其主要措施就是对审计工作的各个阶段严格把关，审前调查充分，审计方案的制订要具有针对性。在审计实施过程中，要充分运用重要性水平分析和内部控制制度测试方法，使审计实施过程更具有针对性，提高审计工作效率，降低审计风险；要加强对审计项目的业务审理工作，对审计工作的全过程进行有效的质量控制。■

【参考文献】

［１］冯淑霞,张伟.商业银行审计风险的成因及对策［J］.中国管理信息化.2007,10,（8）.

新资本协议与商业银行风险管理 篇4

2003年5月，中国银监会公布了最新翻译的巴塞尔新资本协议概述（即Basel Ⅱ第三稿），新协议将在2006年底取代现行的1988年协议。但就中国目前以商业银行为主体的金融机构的风险管理基础和水平而言，还远远达不到新资本协议的要求，因此，中国银监会明确表态，至少在十国集团2006年实施新资本协议的几年后，中国仍将执行1988年的协议。这也说明，中国银行业目前的风险管理水平与国际大银行相比还有较大的差距，因此，提高我国商业银行的风险管理水平，是未来几年银行业亟待解决的问题。

一、“三大支柱”对商业银行风险管理的新要求

新资本协议总体框架共分三部分，即所谓的三大支柱：第一支柱为最低资本要求，第二支柱是监管当局对资本充足率的监督检查，第三支柱为市场约束。与1988年协议相比，新资本协议吸收了近几年国际大银行先进的风险管理理念和风险管理技术，在风险定义、风险计量、强化监管和信息披露等方面提出了新的要求。

（一）实施全面风险管理，提高风险管理质量

新资本协议吸纳了信用风险、市场风险概念的同时，将操作风险列入风险管理的范畴，提出了全面风险管理的理念，风险计量更为谨慎、周密，方法更趋科学，促使商业银行风险管理覆盖信贷决策和审批、贷款定价、信贷授权、风险敞口限额（包括地区、行业和客户）、资本和资源配置等领域，能够更好地控制风险，实现有质量、有内涵的发展。

（二）增强风险防范的主动性，增加风险管理手段的灵活性

新资本协议要求银行在风险控制和防范中发挥更大作用，在第一支柱——最低资本要求中，信用风险、市场风险、操作风险加权风险计量均鼓励和允许商业银行运用自己的评级系统、评级模型和评级技术确定资产风险权重和最低资本充足要求，既强化了银行建立内控机制的责任，又增加了银行风险管理手段的灵活性。

（三）注重模型化和定量化计量，提高风险管理的精密度

新资本协议鼓励银行对信用风险的计量采用内部评级法（IRB），对操作风险的计量采取内部测评方法，这些风险测评技术均以定量化的、更为严密的模型为依托，风险计量更为谨慎、周密。

（四）强调监管当局及时干预，充分发挥监管者的作用

新资本协议把监管当局的严格评估与及时干预作为银行风险管理的第二支柱，监管当局要准确评估银行是否达到最低资本需要，银行资本水平是否与实际风险相适应，内部评级体系是否科学可靠，及早干预和防止银行资本水平低于实际风险水平。这些规定强化了监管当局的职责，硬化了对银行风险管理的监管约束，使监管当局能够更加主动地发挥作用。[!--empirenews.page--]

（五）增强信息的透明度，更加强调市场约束

新资本协议把信息透明和市场约束作为银行风险管理的第三大支柱，要求银行应当向社会及时披露关键信息，包括资本构成、风险资产及计量标准、内部评级系统及风险资产计量法、风险资产管理的战略与制度、资本充足率水平等。银行应具有经董事会批准的正式披露政策，该政策应概括公开披露财务状况和经营状况的目的和战略，并规定披露的频率及方式。这些规定有助于强化对银行的市场约束，提高外部监管的可行性、及时性。

二、当前我国商业银行风险管理存在的主要问题

（一）资本充足率水平不高，风险资产规模较大

虽然新资本协议针对的是一级法人的资本充足监管要求，但在总分行体制下，按照经济资本配置制度要求，银行应当为不同的风险敞口和分支机构配置相应的最低资本，由于国内银行资产质量比较差，不良资产的规模比官方公布的数字要大得多，因此按实际风险资产计算的资本充足率实际上大多低于巴塞尔协议8%的最低水平，同时由于资本充足率水平较低且资本补充渠道较窄，能够为分支机构风险敞口配置的资本相当有限，不可能为高规模的风险敞口提供足够的资本支撑，这种情况必然导致分支机构风险敞口规模与资本匹配失衡。在资本补充有限的情况下，要提高资本充足率必须在降低信贷资产的风险敞口规模上做文章。而我国目前包括大型企业在内的绝大部分企业尚未取得外部评级，在标准法下其风险权重为100%或者150%，且国内银行尚不具备内部评级的客观条件，不能对企业进行内部评级，在呆账准备金提取能力不足的情况下，资本充足率的这种逆向配置效应几乎意味着商业银行降低风险敞口规模的途径就是降低信贷存量规模，甚至是减少一些优质客户的信贷业务。在当前我国信贷资产质量不高的情况下，风险资产按照新资本协议计算无疑规模更大，这又对我国当前较低的资本充足率带来了新的压力。

（二）风险管理文化落后，风险管理意识不强

虽然我国商业银行高级管理层的风险意识初步形成，但风险管理没有作为风险文化根植于所有员工的心中，贯穿到业务拓展的全过程，全面风险管理理念还没有树立，没有形成全行认同的风险管理文化，系统而完整的风险管理战略还有待于加强，风险管理侧重于后台管理，没有将其作为信贷决策、风险敞口限额控制、贷款定价、资本资源配置的有利工具。同时，部分人员将风险片面地等同为违规、案件和损失，一些风险管理人员将风险管理简单地理解为控制，部分业务人员将风险管理看作是业务拓展绊脚石，注重信用风险的控制和计量，对市场风险、操作风险、法律风险等仅有一定的理性认识，还谈不上统筹考虑、系统管理。

（三）风险计量方法落后，风险计量技术达不到要求

新资本协议规定了内部评级法必须达到9个方面的最低标准：（1）信用风险的有效细分；（2）评级的完整性和完备性；（3）对评级系统和机制的监督；（4）评级系统的标准和原理；（5）违约概率测算的最低要求；（6）数据收集和信息技术系统；（7）内部评级的使用；（8）内部验证；（9）信息披露要求。按照这些标准，我国商业银行至少在以下方面还存在差距：一是信用风险尚未进行公司、国家、银行、零售贷款、专项贷款、股权投资方面的细分；二是评级体系仍实行一逾双呆4级分类法和5级分类法，离先进银行10级以上分类方法有较大差距；三是没有成熟的风险计量模型，信用评价仍以定性分析为主，且社会信用体系不健全，信息滞后且有效性差，客户风险评价的准确性较差；四是数据系统既不能满足复杂的风险计量要求，又不能满足5—7年历史数据观察期的要求（这一点显得尤为关键）；五是内部评级尚未应用于信贷决策、资本配置、贷款定价、经营绩效考核等方面；六是缺乏以风险为导向的资本资源配置机制。[!--empirenews.page--]

（四）内控管理机制不完善，风险管理执行力度较弱

就目前情况来看，我国商业银行在内控方面还存在着许多问题，银行的内控还不能完全适应防范和化解金融风险的需要，不能适应银行审慎经营和银行业监管的需要。银行内部缺乏一个统一完整的内部控制法规制度及操作规则，不少制度规定有粗略化、大致化、模糊化现象。如贷后管理检查报告制度淡化，客户经理的职责履行不到位等都缺乏必要的控制手段。同时会计控制未能有效发挥作用。如对于客户在商业银行资金流量，会计部门不能为信贷部门提供必要的信息支持和采取必要的控制手段。同时，岗位轮换制度没有得到普遍推行，未能很好地造就业务的多面手和综合管理人才，达到“一专多能”的目的，也难以避免因岗位人员老化而产生的各种弊端。一些分支行的负责人按个人意志办事，使内控规章制度流于形式。目前，银行的制度规定，其对象大多是业务人员，而对各级管理人员缺乏有效监督，对掌握一定决策权力的管理人员制约力不强，以致内控制度存在着许多漏洞和隐患，表现在信贷风险方面较为明显的是对上报信贷审批材料进行包装和贷款条件不落实，就发放贷款，造成信贷业务从一开始就存在重大隐患。

（五）风险预警信号滞后，缺乏先进的预警技术

风险的隐蔽性和损失形成的滞后性决定了风险预警的重要作用，只有及时准确地根据风险预警体系提供的风险预警信号，采取有效的风险预控措施，风险管理才能达到未雨绸缪的理想效果。但商业银行与此相适应的风险预警体系和预警机制还没的国有独资银行的产权结构以及面临的风险和无利润约束而在管理体制、经营与信贷策略及发展意识等方面存在的种种障碍，无疑又使货币政策作用的时滞拉长、力度减弱。甚至在一个更加开放、更加市场化和金融创新加快的经济中，由于投资工具更加多样化，投资者的构成、资金来源、公司上市和投资活动更加国际化，货币替代的程度和趋势更加增强，货币流通速度也极不稳定，货币需求的相关性、可测性和可控性更难，加之滞后性特点，中央银行控制货币总量的能力实际上呈现出越来越弱的趋势。许多工业化国家转而采用通胀目标或利率目标加以监控。值得注意的是信贷资金违规进人股市，不仅会扭曲价格信号，滋生“泡沫经济”，同时使得中央银行对货币供应量的监测和调控更加困难，而且一旦股票市场和房地产市场价格剧跌会严重动摇人们的消费信心，减少消费支出，同时由于银行抵押品价值的缩水而使银行陷入财务危机之中，引起整个社会的恐慌，造成金融体系的不稳定。

至于股市对利率的敏感度不如国外，乃基于我国货币政策传导是以信贷途径为主导的事实，用流程图表示为：货币供应量M↑→银行储备↑→银行贷款↑→企业投资↑→支出↑。其原因主要有：我国银行的贴现率和本币存贷款利率仍受到央行的严格管制，不能反映社会资金供求关系的变化，当货币政策变化时，金融市场利率无法迅速作出反应，因而通过利率传导的财富效应渠道和资产结构效应渠道这样的两种完全市场竞争、完全信息、具有充分利率弹性的现代市场经济的主要传导机制难以发挥积极的作用。目前我国通过资本市场进行融资的企业数量和融资规模都十分有限，绝大多数国有和非国有经济及个人对银行信用的依赖度都比较高。票据市场发展缓慢与滞后、股票市场严重扭曲。金融市场上既有流动性又有生利性的大量金融新产品未形成一股浪潮，以离岸金融和跨国银行活动为先导，尤其是以短期资本流动和外汇交易规模呈跳跃性增长的金融国际化、自由化时代尚未全面掀起。但由于存在比较利益差异，大量本可进入商品和劳务市场的货币资金转而进入金融市场了，随着对银行业放松管制和市场竞争的空前激烈，当银行越来越多地参与到资本市场中去，且资本市场更加深化和发展，资本市场对实体经济的作用越来越突出，资本市场尤其是股票市场在货币政策的传导中将起到越来越重要的作用，股市对利率的敏感度也将大为增强。甚至在这样一个资本市场更加深化开放的市场经济中，由于货币政策的传导渠道增多，经济主体更加多样化、经济主体的行为更具多变性、经济运行的不确定性加大，利率政策对股市的影响力会下降，相反，一国货币政策的调整却要经常考虑股市面上走势因素。就像现今美联储在发布降息公告中表示的那样：持续下跌的股票价格、制造业疲软以及全球经济环境不景气是促使联储今日降息的主要原因。与资本市场和货币政策深化相关联的是现今主要市场经济国家如美国、欧元区国家的平衡预算政策已开始制约国债市场的发展，甚至使国债市场萎缩或消失，这样以公开市场操作为主要货币政策工具下的长期利率就会难以反映出一国的基本经济状况，缺了一个更富弹性、更加市场化和更具自主性的国债主要工具的中央银行将会更加关注市场均衡实际利率，而利率包含股票、不动产等“资产价格”在内的综合物价体系及其变动反应，将成为当局今后货币政策的最终目标加以探讨。对于那些预算平衡政策使国债市场萎缩到不能充当货币供应“蓄水池”的国家，货币政策工具也将面临技术和制度上的创新。[!--empirenews.page--] 参考文献：

[1]李扬。国债规模：在财政与金融之间寻求平衡 [J].财贸经济，2003，（1）。

[2]张兵，李晓明。中国股票市场的渐进有效性研究 [J].经济研究，2003，（1）。

[3]冯用富。货币政策能对股价的过渡波动做出反应吗[J].经济研究，2003，（1）。

[4]杜金富，王振营，张文红。货币供应量统计当修正[J].中国金融家，2003，（4）。

[5]仲黎明，刘海龙，吴冲锋。中国股票市场流动性：过高还是过低——一个国际比较视角的分析[J].当代经济科学，2003，（1）。

[6]巴曙松。论中国资本市场的开放路径选择[J].世界经济，2003，（3）。

[7]李扬。通货紧缩还是通货膨胀——从货币和利率的走势寻求解释，金融与保险[J].2001，（2）。

基于新巴塞尔资本协议的商业银行风险管理审计研究 篇5

3昨天，银监会公布了《中国银行业实施新资本协议指导意见》。意见明确了实施《统一资本计量和资本标准的国际协议：修订框架》（下称“新资本协议”）的时间表，要求新资本协议银行从2010年底起开始实施新资本协议，如果届时不能达到银监会规定的最低要求，经批准可暂缓实施新资本协议，但不得迟于2013年底。

意见规定，在其他国家或地区（含香港、澳门等）设有业务活跃的经营性机构、国际业务占相当比重的大型商业银行为新资本协议银行。其他商业银行可以自愿申请实施新资本协议；若不选择实施新资本协议，将继续执行现行资本监管规定。

意见规定，银监会将于2008年底前，陆续发布有关新资本协议实施的监管法规，修订现行资本监管规定，在业内征求意见。2009年将开始进行定量影响测算，评估新资本协议实施对商业银行资本充足率的影响。银监会自2010年初开始接受新资本协议银行的申请。商业银行至少提前半年向银监会提出实施新资本协议的正式申请，经银监会批准后方可实施新资本协议。

据了解，新资本协议建立了有效资本监管的三大支柱，即“最低资本要求、监管当局的监督检查、信息披露”。新资本协议代表了风险管理的发展方向，提高了资本监管的风险敏感度和灵活性，有助于商业银行改进风险管理和推动业务创新。

意见要求，实施新资本协议要按照分类实施、分层推进、分步达标的原则进行。

据了解，目前，工行、中行、招行等都对新资本协议进行了有效的调研工作。新资本协议银行应在2007年10月底前完成规划制定工作，并报银监会备案。

基于新巴塞尔资本协议的商业银行风险管理审计研究 篇6

关键词：巴塞尔协议Ⅲ,中国银行业,资本监管

一、引言

新一轮的金融危机中, 美国投行雷曼兄弟在其资本充足率为11%, 即最低监管要求的三倍情况下, 仍走向破产之路。该事件的发生使人们开始对银行资本是否能在危机中发挥应有的缓冲作用产生疑问, 进而开始质疑巴塞尔协议Ⅱ。基于这样的压力背景下, 2010年9月12日, 巴塞尔银行监管委员会通过了关于加强银行体系监管的改革方案——巴塞尔协议Ⅲ, 提出了更为严格的银行资本要求。在这新一轮全球银行资本监管改革的趋势下, 我国商业银行资本监管难免会受其影响, 因此, 基于巴塞尔协议Ⅲ, 考察我国商业银行资本监管的趋势方向是具有研究意义的。

二、《巴塞尔协议Ⅲ》关于资本监管方面的核心内容

相比起巴塞尔协议Ⅱ, 巴塞尔协议Ⅲ在资本监管方面提出更为严格的要求。其主要变化在于四个方面:提高核心资本充足率、建立资本留存缓冲和逆周期资本缓冲、引入流动性覆盖率和净稳定资金比率、引入杠杆率。

(一) 提高最低核心资本充足率

巴塞尔协议Ⅲ提高了核心资本充足率, 要求一级核心资本充足率由4%提高到6%, 普通股最低标准由2%提高到4.5%。对于非股份制银行将建立合理的标准确保其资产质量, 不再符合一级资本金要求的金融工具将自2013年开始以每年10%的速度退出。

(二) 建立资本留存缓冲和逆周期资本缓冲

在最低资本充足率要求的基础上, 巴塞尔协议Ⅲ首次提出2.5%的资本留存缓冲和银行可以根据自身情况建立0%~2.5%的逆周期资本缓冲的要求。资本留存缓冲是由扣除递延税及其他项目后的普通股权益组成, 目的在于使银行在危机时仍持有缓冲资金以确保“吸收”损失。逆周期资本缓冲则是作为资本留存缓冲的补充, 目的在于防备由于信贷增速过快导致的系统性风险积累的情况。

(三) 引入流动性覆盖率和净稳定资金比率

全球银行缺乏流动性监管和统一的流动性监管标准是新一轮金融危机爆发的重要原因之一, 因此巴塞尔协议Ⅲ将流动性监管加入监管的目标体系中, 并建立两个新指标来衡量。一是流动性覆盖率, 用于衡量机构抵御短期流动性风险的能力。短期流动性风险诸如公共信用评级大幅下调、存款部分流失、无担保融资渠道干涸等严重情况的爆发突然性强, 优质的流动性资产可以确保银行机构能坚持运营一个月。二是净稳定资金比率, 通过度量银行较长期限内可使用的稳定资金来源对其资产业务发展的支持能力, 以衡量银行机构在长期内抵御流动性风险的能力。

(四) 引入杠杆率

高杠杆倍数是最广为诟病的引起金融危机爆发的原因, 因为在高杠杆倍数的情况下银行仍能保持符合监管要求的资本充足率, 掩盖了杠杆倍数过高带来的风险。因此, 巴塞尔协议Ⅲ提出引入对杠杆比率的监管作为对资本充足率监管的补充:要求各成员国在同一时期对3%的一级杠杆率进行平行测试, 基于测试结果, 于2017年进行最终调整, 并纳入巴塞尔协议Ⅲ第一支柱部分。

(五) 其他相关内容

除了上述4个内容外, 巴塞尔协议Ⅲ为防止银行将大量高风险资产转移到表外业务逃避监管, 规定了更为严格的高风险资产风险加权计算方法, 将银行表外资产和资产证券化产品按照一定的系数换算成等价信贷产品。此外, 巴塞尔协议Ⅲ提出“系统重要性银行”概念, 将业务规模较大、业务复杂程度较高, 发生重大风险事件或经营失败会对整个银行体系带来系统性风险的银行定义为系统重要性银行。相较于所有的标准, 更为提高对系统重要性银行的监管标准, 以确保其抗风险能力, 降低因系统重要性银行暴露问题而引发的大规模性金融危机的概率。另外, 巴塞尔协议Ⅲ还建立应急资本机制, 比如应急可转债等, 确保当银行濒临倒闭时, 可以通过债权人参与共同承担损失, 使银行得以继续经营。

三、《巴塞尔协议Ⅲ》对我国商业银行资本监管的影响

巴塞尔协议Ⅲ出台后, 2010年底中国银监会跟进巴塞尔协议Ⅲ推出四大监管工具, 包括资本要求、杠杆率、拨备率和流动性要求四大方面。随后中国证监会于2011年8月15日发布《商业银行资本管理办法》, 划分资本监管为四个层次, 即最低资本要求、储备资本要求和逆周期资本要求、系统重要性银行附加资本要求以及第二支柱资本要求, 并以此将银行分为四类, 分别对其进行监管, 就此构成了未来一段时期内中国银行业监管的新框架。

(一) 最低资本充足率要求的影响

目前, 虽然中国证监会要求最低资本要求即核心一级资本充足率、一级资本充足率和资本充足率分别为5%、6%和8%。但一般情况下, 对系统重要性银行的资本充足率的底线为11.5%, 非系统重要性银行为10.5%, 核心资本充足率底线为7%。根据有相关数据统计, 2010年我国各大商业银行资本充足率均在12%以上, 核心资本充足率在7%以上, 这可以看出, 我国系统重要性银行资本充足率结构较好。而且就整个银行系统来看, 我国商业银行整体加权平均资本充足率为12.2%, 大于10.5%, 远大于巴塞尔协议Ⅲ要求的8%, 因此新的资本要求短期内对我国银行业资本监管影响不大。

但从长期来看, 我国商业的经营业务主要以信贷为主, 以利差收入作为主要的利润来源, 可以定性为资本消耗型的银行业务模式。目前我国经济处于上行期, 对信贷的需求会持续增大, 由于银行的收益和利差与资本规模成正比, 这使得中国银行业整体面临资本短缺的困境。此外, 受限于国内资本市场的约束, 银行补充资本的速度必然赶不上业务的扩张需求, 加上新资本充足率的要求, 在一定程度上给中国银行业带来资本补充压力, 约束中国银行业未来发展。另一方面, 为追上信贷需求, 银行需求大规模的资本补充, 虽然这在经济上行期对整个经济有一定的积极影响, 但一旦经济进入下行期, 资本风险就会暴露出来, 导致坏账增加。

(二) 建立资本留存缓冲和逆周期资本缓冲的影响

目前, 我国对银行资本留存缓冲和逆周期资本缓冲的要求不足巴塞尔协议Ⅲ所要求的2.5%。未来若依照巴塞尔协议Ⅲ的要求, 这会对我国商业银行的资本提出更高的要求, 且由于资本留存缓冲和逆周期资本缓冲是由普通股和其他高质量的资产构成, 通过财务杠杆的调节, 资本留存缓冲会在中长期降低银行盈利的波动, 但是逆周期资本缓冲的提高会对银行利润分配有所限制, 并且再融资的时间间隔会缩短以及难度加大。

(三) 杠杆率、流动性覆盖率和净稳定资金比率的影响

巴塞尔协议Ⅲ中规定, 初步要求银行杠杆率不得低于3%, 我国的《商业银行资本管理办法》要求杠杆率要求不得低于4%。目前我国银行业杠杆率普遍在4.5%以上, 这个指标短期内不会对银行有太大的影响。在流动性方面, 我国银行业将在“十二五”期间引入流动性覆盖率和净稳定资金比率两个指标, 进一步增强了银行维护流动性的能力。

从长期来看, 中国金融市场中金融衍生品几乎没有发展起来, 银行并不存在巨额的表外业务, 杠杆率相比起西方国家商业银行较高。但是随着信贷规模扩张、表外业务发展的同时, 我国商业银行将长期面临资本补充的压力, 在现有资本规模下, 杠杆率必然降低。而此时再提高杠杆率的标准, 对我国商业银行未来的发展无形中增加了压力。再者从流动性上分析, 我国商业银行主要依靠存款来获取融资, 如果金融危机爆发, 银行很难从同业处融资。因此流动性要求的提高, 对我国银行业的发展是一种挑战。但是新的流动性管理理念会提高银行对负债稳定性的重视, 保证银行体系的稳健发展。

(四) 系统重要性银行额外资本和应急资本机制的影响

由于我国大型商业银行中国有化程度高, 因此我国的系统重要性银行对国家银行体系乃至是金融体系的影响都大于西方国家的系统重要性银行。通过建立系统重要性银行额外资本和应急资本机制可以使系统重要性银行在面临重大风险或经营失败时, 通过额外资金或启用应急资本机制, 在一定程度上化解风险或是辅助经营, 使银行恢复稳健状态。因此, 系统性重要银行额外资本和应急资本机制的建立对于提高我国银行业的经营稳定性具有重要的影响。

四、《巴塞尔协议Ⅲ》对我国商业银行资本监管的启示

巴塞尔协议Ⅲ是2008年全球金融危机后巴塞尔银行监管委员会吸取总结金融危机的经验教训提出的更为严格的银行监管规定, 其将是今后全球商业银行监管的发展趋势, 也是我国商业银行监管的演变、改革方向。由于我国银行系统业经营模式是以信贷规模扩张的消耗性模式, 银行发展的不平衡、不协调、不可持续问题突出, 因此在短时期内让我国银行资本管理参照巴塞尔协议Ⅲ执行, 对我国银行业的发展过于硬性的转化, 是弊大于利的。所以, 应建立过渡期, 依照本国国情循序渐进地改革我国银行资本管理体系, 以达到巴塞尔协议Ⅲ的相关规定。以下, 将根据巴塞尔协议Ⅲ的资本监管, 对我国银行业资本监管在今后的改革提出相关对策建议。

(一) 建立长效合理的多渠道资本补充机制

短时期内, 我国的商业银行普遍满足巴塞尔协议Ⅲ规定的资本充足率要求。但是, 从理论上来看, 在以上论述的巴塞尔协议Ⅲ关于资本监管的核心内容中的各项指标, 都会增加了银行的融资成本, 扩大资金的需求量;此外从中国现实情况来看, 因为顺应宽松的货币政策, 国内商业银行在这两年都放出了大量信贷业务, 并且伴随着我国经济处于上行期的基本情况, 信贷业务在今后将更加扩张, 这一资本消耗性业务的增加, 从长期来看, 将会使我国银行业面临资本金不足的问题。针对这种资金供应量不足、资金需求量扩张的情况, 我国银行业需要建立长效健全的商业银行资本补充机制, 以补充资本的缺口。本文认为最直接有效的方法是鼓励发展低资本消耗的中间业务, 走资本节约型盈利模式。如在银行加强资本规划和管理体系时, 积极开拓其他业务, 调整业务结构, 大力发展低资本消耗的托管、投行等新兴业务和表外业务;发展人民币跨境结算、债券承销、代客投资理财业务;通过调整商业银行资本结构, 将普通股资本补充方式同内部资本积累补充方式相协调, 以实现高资本补充低成本;还可通过开发金融创新混合资本工具以增加银行资本等。

(二) 主动调整银行经营业务模式, 加强资本规划和管理体系的建设

资本存在缺口的关键是我国银行经营业务的模式是资本消耗型, 因此我国商业银行必须要切实改变过去偏重靠规模扩张的信贷经营理念, 转而建立节约资本的银行经营业务模式。此外, 还需注重在有限资本规模下实现风险最小化和收益最大化, 以实现“资本、风险、收益”的有效匹配。再者, 除了实现节约资本, 还需提高资本使用效率, 因此, 我国商业银行应加快建立一个以资本规划、资本补充、资本使用和分配、资本监控和考核、资本使用评估、资本规划修订为循环的经济资本管理体系。

(三) 建立逆周期资本监管框架

经济周期转变时, 银行体系不可避免地面临系统性风险。这是由于在经济上行期, 信贷随着经济发展而扩张, 信用风险也随之产生, 但隐藏于银行内部, 当经济下行期来临, 信用风险随之暴露出来。若按照现在的资本监管方法, 经济上行期资本要求下降, 经济下行期资本要求上升, 这将会扩大经济周期的波动幅度。因此, 应在银行资本管理体系中建立逆周期资本监管框架, 以平滑信贷供给的长期波动, 维护银行体系长期信贷供给能力, 从而降低经济周期性波动幅度。

参考文献

[1]崔宏“.巴塞尔协议Ⅲ”框架下的中国银行持续发展之路[J].银行家, 2010 (10) .

[2]游春, 张绪新《.巴塞尔协议Ⅲ》对我国商业银行资本监管的影响[J].金融管理与研究, 2011 (06) .

基于新巴塞尔资本协议的商业银行风险管理审计研究 篇7

[关键词] 《新巴塞尔协议》 商业银行内部控制内部评级法

2004年以来，我国银行系统的一系列大案要案，暴露了我国商业银行系统内部控制存在的问题。如今混业经营正成为我国商业银行运作的趋势，但新业务在产生的同时也蕴藏着巨大的风险。作为国际商业银行监管风向标的《旧巴塞尔协议》，自其产生之日起就为各国商业银行的监管提供着可供参考的指标和依据，其几经改革和变迁，体系和框架日趋成熟，逐渐为许多发达国家和地区所接受。因此，怎样在《新巴塞尔协议》框架下构建适合我国国情的商业银行内部控制制度，是值得研究和探讨的新课题。这一课题对于我国实现入世承诺，于2007年年底前全面开放银行业，显得尤为重要。

一、《新巴塞尔协议》与商业银行内部控制的关系

从表面上看，《新巴塞尔协议》侧重的是商业银行的风险管理和监管当局的监督。其实，《新巴塞尔协议》在更深层次上，是一份商业银行内部控制的规范文件。

首先，商业银行内部控制的诸多内容中的核心部分就是风险控制。商业银行在经营过程中所面临的风险有信用风险、流动性风险、市场风险等，《新巴塞尔协议》在根据不同的资产面临的风险提供不同的风险系数的基础上，提出内部评级法，使资本充足率与银行面对的风险更紧密的联系在一起。

其次，《新巴塞尔协议》在制定之前，吸收了2003年7月美国COSO公布的《风险管理整体框架》(草案)的理念，即八个因素：内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。众所周知，COSO是美国自律性的内部控制规范制定组织。《新巴塞尔协议》对其理念的吸收，说明加强内部控制，提高风险管理水平，不仅是企业界的共识，还是商业银行经营满足安全性、赢利性和流动性要求的重要方面。

另外，根据众多国家实施《旧巴塞尔协议》的经验，《旧巴塞尔协议》在改善商业银行内部控制制度方面有十分显著的作用。无庸置疑的是，实施《新巴塞尔协议》，必然迫使商业银行改变风险资产机构，提高资本充足比率。这个过程，会带动商业银行多方面的改变：通过有效的资产负债管理和表外项目的控制；对资产相对收益和风险进行比较，实现资产组合优化；协调统一的资本比率和风险权数也有利于商业银行之间的比较，以便迅速找到不足，提高营运效率。

二、《新巴塞尔协议》的基本内容

《新巴塞尔协议》主要由三大支柱构成;第一支柱对于最低资本率仍然要求维持8%，内容包括:建立内部评级系统、修正标准法规定、提供信用风险减轻交易的计算方式、资产保全以及增订操作风险要求。第一支柱第一次对操作风险提出了明确的资本要求，鼓励好的银行自行建立内部评级机制，以期符合自身经营特性。

第二支柱提升了监督检查的作用，旨在鼓励银行为了识别、度量和控制风险，发展适合自身特征的内部风险资本评估，为银行监管提供了防止银行无正当理由的减少资本进行监管干涉的依据。

第三支柱体现了巴塞尔委员会通过增加透明度促进市场约束的努力，特别强调资本和资本充足率披露(其中含有资本结构的组成和监管资本率)，包括风险暴露的风险信息的市场披露(其中含有信用、市场、利率和操作风险)。

三、我国《商业银行资本充足率管理办法》与《新巴塞尔协议》的比较

为了实现与国际银行运作机制的接轨，我国银监会于2004年3月1日颁布实施《商业银行资本充足率管理办法》（以下简称《办法》）。两者有联系，也有不同：

1.《办法》在许多方面借鉴了《新巴塞尔协议》的内容，将第二支柱——监督检查和第三支柱——信息披露的内容包括在内；《办法》还借鉴了新资本协议标准法，在计算风险时摒弃以OECD成员与否决定风险权重的不合理做法，使用外部信用评级公司的评级结果确定商业银行境外债权的风险权重；在资本要求计算方面，《办法》合理确定各类资产的风险权重，并对《旧巴塞尔协议》不合理的部分进行了调整。

2.《办法》参考《新巴塞尔协议》第二支柱和我国《银行监督管理法》第四章的规定，明确了监管当局的监督职能，在资本充足率的监督检查方面建立了一套操作性强、透明度高的标准和程序，其中，监督检查的核心内容是按照资本充足率的高低，把商业银行的类型划分为三类：资本充足、资本不足和资本严重不足。为了防止资本充足银行的资本充足率降到最低监管标准以下，监管当局可以采取干预措施；对资本不足的银行，监管当局可以采取纠正措施；对资本严重不足的银行，监管当局还可要求商业银行调整高级管理人员，并依法对商业银行实行接管或者促成机构重组，直至予以撤销。

3.《辦法》与《新巴塞尔协议》最大的不同在于，它没有明确将内部控制的操作风险纳入资本监管。之所以有这个重大区别，是因为我国银行的内部控制机制不健全，内部评级系统始终处于不健全的状态。商业银行虽然已经根据《旧巴塞尔协议》建立了风险管理的基本框架，但是风险资产的测算工作始终未能制度化。风险测量成本高、信用环境差使得内部评级系统的建立和推行存在巨大障碍。

综合考虑多方面因素，《办法》规定2007年1月1日为商业银行资本充足率最后达标期限。近两年，建设银行、中国银行和工商银行等纷纷达到标准要求，成功上市。

四、《新巴塞尔协议》框架下商业银行内部控制制度要点

多种障碍因素的存在，使得我国目前不具备全面实行《新巴塞尔协议》的现实条件。但是，银监会主席刘明康强调：“在满足最低资本监管要求的同时，商业银行还应当重视改善风险管理”。可见，在2007年之后的一段时间内，我国商业银行的内部控制制度必然会向《新巴塞尔协议》过渡。根据我国的现实，这一制度有以下几个要点：

1.确定外部评级机构，关注信用等级转移概率。针对信贷业务，传统的内部控制主要是“审贷分离”制度。《新巴塞尔协议》特别强调内部信用管理问题，最主要的做法就是内部信用评级法。我国目前《办法》主要借鉴的是《旧巴塞尔协议》的做法。但是经过比较，可以发现，只要在原法的基础上稍加改进，便可以达到《新巴塞尔协议》的要求。《新巴塞尔协议》和《旧巴塞尔协议》在内部信用评级法上的不同如下表:

表《新巴塞尔协议》和《旧巴塞尔协议》在内部信用评级法上的不同

构建外部评级机构，让其在内部信用评价法下发挥作用，是实现商业银行有效内部控制的有效途径。

其次，这个制度要关注信用登记转移的概率。结合表1来讲，就是某一项资产的信用级别由AAA转移到BBB的概率是多少。这一概率的计算，主要的工作室做好内部信用评级的管理，这种管理除了给出评级级别结果外，还侧重于级别的变化和变化的方向、程度的大小等，同时要掌握变化的可能性以及变化的趋势。因此，商业银行建立自己的信息库，并将信息库在商业银行之间的互通和共享十分有必要。

2.新兴业务必须强调在险价值。我国商业银行很重视开展新兴业务，比如住房抵押贷款证券化、国债买卖等。这些业务所蕴含的风险不同于传统信贷业务，在内部控制上也呈现出许多新的特点。因此必须强调其在险价值（value at risk），尤其是市场风险和信用风险。《新巴塞尔协议》提倡商业银行应该有自己的内部风险和内部评级模型，并用这些模型去解决新业务带来的新风险。由于我国目前利率并未市场化，金融市场也没有相应的衍生工具来规避利率变化带来的市场风险，因此，国债买卖业务亟需构建相应的内部控制制度。而对于住房抵押贷款证券化业务，信用风险，特别是提前还款风险，也需要制定相应内部控制制度来进行控制。

3.构建独立的内部控制评价部门。西方许多国家的银行都建立了内部控制评价部门，该部门独立于整个企业的风险，从而保证客观、公正、独立、透明化监督的作用。这与《新巴塞尔协议》的主旨不谋而合。2002年9月中国人民银行颁布的《内部控制指引》要求建立独立的评价监督部门内来考核内部控制的建设。目前我国许多银行都没有建立独立的评价监督部门，这一部门的缺失，使得商业银行内部控制处于相对无序状态，大大降低了银行识别风险和防范风险的能力。

3.对于金融衍生产品的内部控制。《新巴塞尔协议》建议商业银行使用金融衍生产品来规避风险、适时获利。许多发达国家的商业银行也十分注重发展金融衍生产品业务。但是，金融衍生产品是一把双刃剑，如果在内部控制机制不利、技术能力不强的情况下加以利用，后果可能是很严重的，巴林银行、远东证券就是典型的例子。我国目前没有真正意义上的金融衍生产品，由于我国实行的是分业经营制，商业银行涉足证券业主要是以“代理商”的角色出现。但是对于金融控股公司控股下的商业银行、证券公司的业务往来，已经形成了事实上的混业经营，因此，尽早在金融衍生产品这个方面进行风险权重的规定和控制，不仅必要，而且紧迫。

可喜的是，虽然我国商业银行的内部控制制度在向《新巴塞尔协议》过渡的过程中，有许多的障碍和问题，但是，一些有实力的银行，比如工商银行、中国银行、建设银行建立了自己针对《新巴塞尔协议》中内部信用评级的研究队伍，而以中信实业银行为代表的中小银行则采取了与国外公司联合开发内部评级系统的策略。《新巴塞尔协议》框架下的商业银行内部控制制度已经初现雏形，监管当局应当顺应国际金融发展趋势和我国金融体系对内部控制制度构建的需要，尽快改进相关法规，促进我国商业银行的健康、快速发展。